В роутерах D-Link (DIR-300revA, DIR-300revB, DIR-600revB) обнаружен backdoor.
Немецкий исследователь просканировал некоторые устройства D-Link nmap-ом и обнаружил открытым порт 23tcp (telnet).
root@bt:~# nmap -sSV -p 23 192.168.178.133,144,222
Nmap scan report for 192.168.178.144
Host is up (0.0068s latency).
PORT STATE SERVICE VERSION
23/tcp open telnet D-Link 524, DIR-300, or WBR-1310 WAP telnetd
MAC Address: 00:26:5A:38:7D:77 (D-Link)
Service Info: Device: WAP
Nmap scan report for 192.168.178.222
Host is up (0.0031s latency).
PORT STATE SERVICE VERSION
23/tcp open telnet D-Link 524, DIR-300, or WBR-1310 WAP telnetd
MAC Address: 34:08:04:DB:6D:FE (D-Link)
Service Info: Device: WAP
root@bt:~/firmware/DIR300-extracted# cat rootfs/etc/config/image_sign
Т.е. пароль зависит от того, какая в устройстве версия прошивки. При чём пароль этот даёт root-привелегии к устройству (см. картинку ниже):
Получив рутовый пароль, вы также можете
обнаружить в устройстве логинпароль к веб-интерфейсу устройства в открытом виде
# cat var/etc/httpasswd
admin:admin
или так:
Надо сказать, этот исследователь уже не первый раз ковыряет оборудование D-Link и сообщает производителю о багах. Однако D-Link как-то не всегда торопится закрывать их. Или вообще заявляет, что что фикса не будет, т.к. по их мнению, это проблема не в их оборудовании, а в браузерах и самих пользователях их устройств.
Источник
чёрный ход
, задняя дверь
, лазейка
—
8895
66
shanker 23,9
комментарии (34) отслеживать новые: в почте в трекере
+9
AlexRed, 14 июня 2013 в 12:22 #
Классика жанра- «нашел с помощью Nmap»
+2
piatachki, 14 июня 2013 в 12:23 #
У меня DIR-300. Подскажите, пожалуйста, что мне надо сделать, что бы все было хорошо?
+3
wronglink, 14 июня 2013 в 12:28 #
↵
↑
Вероятно, DD-WRT. Только там нужно внимательно ставить соответствующую ревизию (A или B), иначе можно все поломать.
+1
Obramko, 14 июня 2013 в 12:39 #
↵
↑
Для B* на RT3050(F) лучше Wive-RTNL.
+3
shanker, 14 июня 2013 в 12:30 #
↵
↑
Конкретно с этой проблемой — как минимум поменять исходник файла rootfs/etc/scripts/misc/telnetd.sh и содержимое файла /var/etc/httpasswd
Хотя если Вам действительно важна безопасность Вашей локалки, то лучше не экономить и купить, например, MikroTik RB751U-2HnD. Стоит не намного дороже
+2
track, 14 июня 2013 в 12:52 #
↵
↑
Не включать телнет, для работы он не нужен.
Написано же в тексте: «некоторые устройства».
По умолчанию, кстати, telnet не включен.
+2
Evengard, 14 июня 2013 в 12:40 (комментарий был изменён) #
Открыли Америку. Вот вам ещё один бекдор (тоже на DIR-300 видел):
192.168.0.1/model/__show_info.php?REQUIRE_FILE=/var/etc/httpasswd
Логин и пароль от админки плейнтекстом без пароля.
+1
Drag116, 14 июня 2013 в 12:51 #
↵
↑
Проверил. Работает на моем dir-300.
+2
shanker, 14 июня 2013 в 12:53 (комментарий был изменён) #
↵
↑
Это только от админки. Я же пишу в том числе про рутовый доступ к устройству. А это уже серьёзнее: таким образом устройство можно использовать как прокси. А это уже проблема другого масштаба. Ибо через него могут взломать какой-нибудь компьютер и тогда владелец устройства будет долго доказывать, что «хак не мой, я просто разместил объяву D-Link в своей квартире». А пока он это будет доказывать, могут забрать на экспертизу как его роутер, так и все его компы, подключённые к нему. И неясно в каком виде вернут обратно и когда.
+4
Disasm, 14 июня 2013 в 12:59 #
↵
↑
Заходите в админку, ключаете telnet, логинитесь по telnet, получаете рутовый доступ. Нет?
0
Evengard, 14 июня 2013 в 13:01 (комментарий был изменён) #
↵
↑
Да, мне тоже казалось, что где-то в админке DIR-300 была опция его включения.
Есть конечно «экстрим вариант», зайдя в админку перешить роутер на нужную прошивку и настроить так, чтобы хозяин ничего не заметил. В любом случае доступ к админке даёт не меньше, ИМХО
0
Evengard, 14 июня 2013 в 13:03 (комментарий был изменён) #
↵
↑
И да, после авторизации в админке вот вам ещё команда:
192.168.0.1/sys_cfg_valid.xgi?&exeshell=submit%20REBOOT
Ребутает роутер.
Возможно можно больше команд туда подставить.
0
Backdor, 14 июня 2013 в 13:05 #
↵
↑
О да, экспертиза проводится отлично. У меня изымали компьютеры, через пару месяцев вернули, пароль на Windows 8 сбросить не смогли, MacBook Pro тоже не сломали, только вот ноутбуку от Asus с семеркой на борту и учеткой без пароля досталось :(
+1
Disasm, 14 июня 2013 в 13:07 #
↵
↑
А зачем сбрасывать пароль? Просто так посмотреть файловую систему совесть не позволяет? Вряд ли у вас там truecrypt на всех разделах.
0
Backdor, 14 июня 2013 в 13:12 #
↵
↑
Не, я не просто так написал про пароли, следователь сказал что «не смогли ничего сделать». На маке FileVault был только. Я к тому что ленивые там, и проверяют по-моему только на бумаге, как мне показалось.
0
Mendel, 14 июня 2013 в 13:51 #
↵
↑
Это еще ладно.
У меня так ключик хасповский для 1с на пять лицензий потерялся.
Клоуны из СБУ обозвали его «флешкой», потом долго его мурыжили, их эксперт сказал что это «поломанная флешка»…
Ну а там в масштабах разборок «поломанная флешка» и затерялась…
0
itforge, 14 июня 2013 в 13:41 #
↵
↑
У меня тоже работает :-/
–1
utya, 14 июня 2013 в 12:48 #
Интересно осталось много людей кто использует dir-300 со стандартной прошивкой?
+6
Breaker, 14 июня 2013 в 12:55 #
↵
↑
Очень много. Если провайдер раздает такие клиентам, то они как правило преднастроены. Клиент втыкает провода и наслаждается услугами.
–1
utya, 14 июня 2013 в 13:50 #
↵
↑
Странно. Казалось, что все ставят себе альтернативные прошивки. А насчёт провайдеров забыл
0
guessss_who, 14 июня 2013 в 13:06 #
↵
↑
Странный вопрос. В вашем круге общения нет не-айтишников? Вообще?
Меня вот такие нередко просят о помощи (починить компьютер, настроить интернет, помочь грамотно пнуть провайра и т.п.). Так вот, иногда приходится осматриваться в их сетевой железке. Не могу припомнить даже случая, чтобы я пришел, залогинился в админку, и увидел, что в железку залита не самая первая версия прошивки. А мы с вами знаем, как замечательно работает тот же D-Link на первых релизах софта. :) Но ничего, люди терпят. А что им еще остается?
0
Scorpil, 14 июня 2013 в 13:21 #
↵
↑
Да dir-300 это же классика. Конечно много.
0
bebebe, 14 июня 2013 в 13:08 #
А чем он расковырял прошивку?
+2
Angel2S2, 14 июня 2013 в 13:13 #
Спросил сейчас коллегу, который два года в D-Link'е работал. Он говорит, что это инженерный интерфейс и доступ автоматом закрывается через 15 минут.
+1
shanker, 14 июня 2013 в 13:18 #
↵
↑
Если есть рутовый доступ, то это ограничение можно отключить или поднять ssh-демона, который уже не будет подчиняться этому ограничению и т.д. и т.п. В общем, на каждую хитрую попу найдётся попа похитрее
+1
Angel2S2, 14 июня 2013 в 13:20 #
↵
↑
Это-то понятное дело, руки из ж… растут у кого-то там, вот и сделали такой инженерный интерфейс (ИМХО).
Я просто написал то, что узнал от знающего человека. К тому же этого нету в посте.
0
shanker, 14 июня 2013 в 13:21 #
↵
↑
Спасибо. Но т.к. эта информация не проверенная, то пока добавлять в пост не стану, не серчайте
0
Angel2S2, 14 июня 2013 в 13:25 #
↵
↑
Я на это и не претендую. Всего-лишь поделился.
+2
Disasm, 14 июня 2013 в 13:31 #
↵
↑
Вот как теперь это называется.
–3
shanker, 14 июня 2013 в 13:20 #
Как не предсказуем Хабр. Статья идёт в плюс, а всё же нашёлся негодник, который плюнул в карму
–2
lmrvsk, 14 июня 2013 в 13:22 #
Старо как мир.
0
gjf, 14 июня 2013 в 13:35 (комментарий был изменён) #
На самом деле с Telnet'ом у DLink'ов у меня всегда был вопрос.
Берём даже самое простое: DSL-2500U/BRU/C1, проша RU_1.25.
По настройкам — Telnet отключен:
image
По факту: вовсе нет:
Starting Nmap 6.25 ( nmap.org ) at 2013-06-14 12:18 Финляндия (лето)
NSE: Loaded 106 scripts for scanning.
NSE: Script Pre-scanning.
Initiating ARP Ping Scan at 12:18
Scanning 192.168.61.1 [1 port]
Completed ARP Ping Scan at 12:18, 0.41s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:18
Completed Parallel DNS resolution of 1 host. at 12:18, 4.65s elapsed
Initiating SYN Stealth Scan at 12:18
Scanning 192.168.61.1 [1000 ports]
Discovered open port 23/tcp on 192.168.61.1
Discovered open port 80/tcp on 192.168.61.1
Completed SYN Stealth Scan at 12:18, 1.90s elapsed (1000 total ports)
Initiating Service scan at 12:18
Scanning 2 services on 192.168.61.1
Completed Service scan at 12:18, 4.76s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against 192.168.61.1
NSE: Script scanning 192.168.61.1.
Initiating NSE at 12:18
Completed NSE at 12:18, 18.90s elapsed
Nmap scan report for 192.168.61.1
Host is up (0.021s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
23/tcp open tcpwrapped
80/tcp open http micro_httpd
При попытке прямого захода — соединение разрывается, но зачем тогда держать открытым порт?
0
Disasm, 14 июня 2013 в 14:17 #
↵
↑
Скорее всего, включение-отключение сервисов делается средствами iptables.
0
kay, 14 июня 2013 в 14:14 (комментарий был изменён) #
Тут кто-нибудь покупает роутеры до ~5 тыс. руб и пользуется стандартной прошивкой?